序論:在您撰寫電子商務(wù)安全事件時(shí),參考他人的優(yōu)秀作品可以開闊視野��,小編為您整理的7篇范文,希望這些建議能夠激發(fā)您的創(chuàng)作熱情����,引導(dǎo)您走向新的創(chuàng)作高度。
第1篇
關(guān)鍵字 電子商務(wù) 網(wǎng)絡(luò)安全 事件類型 安全建議
1前言
隨著Internet的快速發(fā)展�,電子商務(wù)已經(jīng)逐漸成為人們進(jìn)行商務(wù)活動(dòng)的新模式。越來越多的人通過Internet進(jìn)行商務(wù)活動(dòng)�����。電子商務(wù)的發(fā)展前景十分誘人�,而其安全問題也變得越來越突出。近年來�����,網(wǎng)絡(luò)安全事件不斷攀升�����,電子商務(wù)金融成了攻擊目標(biāo)��,以網(wǎng)頁篡改和垃圾郵件為主的網(wǎng)絡(luò)安全事件正在大幅攀升�。國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(以下簡稱CNCERT/CC)作為接收國內(nèi)網(wǎng)絡(luò)安全事件報(bào)告的重要機(jī)構(gòu),2005年上半年共收到網(wǎng)絡(luò)安全事件報(bào)告65679件�,為2004年全年64686件還要多�。在CNCERT/CC處理的網(wǎng)絡(luò)安全事件報(bào)告中����,網(wǎng)頁篡改占45.91%,網(wǎng)絡(luò)仿冒占29%��,其余為拒絕服務(wù)攻擊����、垃圾郵件、蠕蟲�、木馬等,2004年以來���,我國面臨的網(wǎng)絡(luò)仿冒威脅正在逐漸加大�,仿冒對象主要是金融網(wǎng)站和電子商務(wù)網(wǎng)站���。數(shù)字顯示����,電子商務(wù)等網(wǎng)站極易成為攻擊者的目標(biāo)����,其安全防范有待加強(qiáng)�。如何建立一個(gè)安全���、便捷的電子商務(wù)應(yīng)用環(huán)境,對信息提供足夠的保護(hù)�����,已經(jīng)成為商家和用戶都十分關(guān)心的話題��。
2影響電子商務(wù)發(fā)展的主要網(wǎng)絡(luò)安全事件類型
一般來說����,對電子商務(wù)應(yīng)用影響較多、發(fā)生率較高的互聯(lián)網(wǎng)安全事件可以分為網(wǎng)頁篡改�����、網(wǎng)絡(luò)蠕蟲����、拒絕服務(wù)攻擊、特羅伊木馬�、計(jì)算機(jī)病毒、網(wǎng)絡(luò)仿冒等����,而近幾年來出現(xiàn)的網(wǎng)絡(luò)仿冒(Phishing)���,已逐步成為影響電子商務(wù)應(yīng)用與發(fā)展的主要威脅之一。
2.1網(wǎng)絡(luò)篡改
網(wǎng)絡(luò)篡改是指將正常的網(wǎng)站主頁更換為黑客所提供的網(wǎng)頁�����。這是黑客攻擊的典型形式�����。一般來說����,主頁的篡改對計(jì)算機(jī)系統(tǒng)本身不會(huì)產(chǎn)生直接的損失,但對電子商務(wù)等需要與用戶通過網(wǎng)站進(jìn)行溝通的應(yīng)用來說�,就意味著電子商務(wù)將被迫終止對外的服務(wù)。對企業(yè)網(wǎng)站而言����,網(wǎng)頁的篡改,尤其是含有攻擊��、丑化色彩的篡改,會(huì)對企業(yè)形象與信譽(yù)造成嚴(yán)重?fù)p害�����。
2.2網(wǎng)絡(luò)蠕蟲
網(wǎng)絡(luò)蠕蟲是指一種可以不斷復(fù)制自己并在網(wǎng)絡(luò)中傳播的程序����。這種程序利用互聯(lián)網(wǎng)上計(jì)算機(jī)系統(tǒng)的漏洞進(jìn)入系統(tǒng)���,自我復(fù)制��,并繼續(xù)向互聯(lián)網(wǎng)上的其它系統(tǒng)進(jìn)行傳播���。網(wǎng)絡(luò)蠕蟲的危害通常有兩個(gè)方面:1、蠕蟲在進(jìn)入被攻擊的系統(tǒng)后�,一旦具有控制系統(tǒng)的能力,就可以使得該系統(tǒng)被他人遠(yuǎn)程操縱�。其危害一方面是重要系統(tǒng)會(huì)出現(xiàn)失密現(xiàn)象,另一方面會(huì)被利用來對其他系統(tǒng)進(jìn)行攻擊���。2���、蠕蟲的不斷蛻變并在網(wǎng)絡(luò)上的傳播,可能導(dǎo)致網(wǎng)絡(luò)被阻塞的現(xiàn)象發(fā)生,從而致使網(wǎng)絡(luò)癱瘓��,使得各種基于網(wǎng)絡(luò)的電子商務(wù)等應(yīng)用系統(tǒng)失效�。
2.3拒絕服務(wù)攻擊
拒絕服務(wù)攻擊是指在互聯(lián)網(wǎng)上控制多臺(tái)或大量的計(jì)算機(jī)針對某一個(gè)特定的計(jì)算機(jī)進(jìn)行大規(guī)模的訪問,使得被訪問的計(jì)算機(jī)窮于應(yīng)付來勢兇猛的訪問而無法提供正常的服務(wù)���,使得電子商務(wù)這類應(yīng)用無法正常工作�����。
一般來說��,這是黑客常用的一種行之有效的方法��。如果所調(diào)動(dòng)的攻擊計(jì)算機(jī)足夠多���,則更難進(jìn)行處置。尤其是被蠕蟲侵襲過的計(jì)算機(jī)�,很容易被利用而成為攻擊源,并且這類攻擊通常是跨網(wǎng)進(jìn)行的���,加大了打擊犯罪的難度��。
2.4特羅伊木馬
特羅伊木馬(簡稱木馬)是一種隱藏在計(jì)算機(jī)系統(tǒng)中不為用戶所知的惡意程序���,通常用于潛伏在計(jì)算機(jī)系統(tǒng)中來與外界連接����,并接受外界的指令�����。被植入木馬的計(jì)算機(jī)系統(tǒng)內(nèi)的所有文件都會(huì)被外界所獲得��,并且該系統(tǒng)也會(huì)被外界所控制�,也可能會(huì)被利用作為攻擊其它系統(tǒng)的攻擊源�����。很多黑客在入侵系統(tǒng)時(shí)都會(huì)同時(shí)把木馬植入到被侵入的系統(tǒng)中�����。
2.4網(wǎng)絡(luò)仿冒(Phishing)
Phishing又稱網(wǎng)絡(luò)仿冒��、網(wǎng)絡(luò)欺詐�����、仿冒郵件或者釣魚攻擊等,是黑客使用欺詐郵件和虛假網(wǎng)頁設(shè)計(jì)來誘騙收件人提供信用卡帳號�����、用戶名���、密碼�����、社會(huì)福利號碼等�����,隨后利用騙得的帳號和密碼竊取受騙者金錢����。近年來�����,隨著電子商務(wù)�����、網(wǎng)上結(jié)算、網(wǎng)上銀行等業(yè)務(wù)在日常生活中的普及���,網(wǎng)絡(luò)仿冒事件在我國層出不窮��,諸如中國銀行網(wǎng)站等多起金融網(wǎng)站被仿冒�。網(wǎng)絡(luò)仿冒已經(jīng)成為影響互聯(lián)網(wǎng)應(yīng)用��,特別是電子商務(wù)應(yīng)用的主要威脅之一�。
根據(jù)國際反仿冒郵件工作小組(Anti-Phishing Working Group,APWG)統(tǒng)計(jì)���,2005年4月共有2854起仿冒郵件事件報(bào)告�;從2004年7月至2005年4月��,平均每月的仿冒郵件事件報(bào)告數(shù)量的遞增達(dá)率15%���;僅在2005年4月,就共有79個(gè)各類機(jī)構(gòu)被仿冒����。2005年上半年CNCERT/CC廣東分中心就處理了15多期的網(wǎng)絡(luò)仿冒事件。從這些數(shù)字可以看到�����,Phishing事件不僅數(shù)量多、仿冒范圍大���,而且仍然在不斷增長�。
網(wǎng)絡(luò)仿冒者為了逃避相關(guān)組織和管理機(jī)構(gòu)的打擊�����,充分利用互聯(lián)網(wǎng)的開放性�����,往往會(huì)將仿冒網(wǎng)站建立在其他國家�,而又利用第三國的郵件服務(wù)器來發(fā)送欺詐郵件,這樣既便是仿冒網(wǎng)站被人舉報(bào)��,但是關(guān)閉仿冒網(wǎng)站就比較麻煩���,對網(wǎng)絡(luò)欺詐者的追查就更困難了��,這是現(xiàn)在網(wǎng)絡(luò)仿冒犯罪的主要趨勢之一��。
據(jù)統(tǒng)計(jì)�,中國已經(jīng)成為第二大仿冒網(wǎng)站的屬地國,僅次于美國�,而就目前CNCERT/CC的實(shí)際情況來看,已經(jīng)接到多個(gè)國家要求協(xié)助處理仿冒網(wǎng)站的合作請求��。因此���,需要充分重視網(wǎng)絡(luò)仿冒行為的跨國化�����。
3安全建議
隨著網(wǎng)絡(luò)應(yīng)用日益普及和更為復(fù)雜��,網(wǎng)絡(luò)安全事件不斷出現(xiàn)�����,電子商務(wù)的安全問題日益突出���,需要從國家相關(guān)法律建設(shè)的大環(huán)境到企業(yè)制定的電子商務(wù)網(wǎng)絡(luò)安全管理整體架構(gòu)的具體措施��,才能有效保護(hù)電子商務(wù)的正常應(yīng)用與發(fā)展�。
3.1不斷完善法律與政策依據(jù) 充分發(fā)揮應(yīng)急響應(yīng)組織的作用
目前我國對于互聯(lián)網(wǎng)的相關(guān)法律法規(guī)還較為欠缺,尤其是互聯(lián)網(wǎng)這樣一個(gè)開放和復(fù)雜的領(lǐng)域���,相對于現(xiàn)實(shí)社會(huì)����,其違法犯罪行為的界定、取證�、定位都較為困難。因此�,對于影響電子商務(wù)發(fā)展的基于互聯(lián)網(wǎng)的各類網(wǎng)絡(luò)安全事件的違法犯罪行為的立法,需要一個(gè)漫長的過程��。
根據(jù)互聯(lián)網(wǎng)的體系結(jié)構(gòu)和網(wǎng)絡(luò)安全事件的特點(diǎn)����,需要建立健全協(xié)調(diào)一致,快速反應(yīng)的各級網(wǎng)絡(luò)應(yīng)急體系�����。要制定有關(guān)管理規(guī)定��,為網(wǎng)絡(luò)安全事件的有效處理提供法律和政策依據(jù)�。
轉(zhuǎn)貼于 互聯(lián)網(wǎng)應(yīng)急響應(yīng)組織是響應(yīng)并處理公共互聯(lián)網(wǎng)網(wǎng)絡(luò)與信息安全事件的組織,在我國�,CNCERT/CC是國家級的互聯(lián)網(wǎng)應(yīng)急響應(yīng)組織,目前已經(jīng)建立起了全國性的應(yīng)急響應(yīng)體系;同時(shí)�,CNCERT/CC還是國際應(yīng)急響應(yīng)與安全小組論壇(FIRST,F(xiàn)orum of Incident Response and Security Teams)等國際機(jī)構(gòu)的成員���。
應(yīng)急響應(yīng)組織通過發(fā)揮其技術(shù)優(yōu)勢�,利用其支撐單位�����,即國內(nèi)主要網(wǎng)絡(luò)安全廠商的行業(yè)力量����,為相關(guān)機(jī)構(gòu)提供網(wǎng)絡(luò)安全的咨詢與技術(shù)服務(wù),共同提高網(wǎng)絡(luò)安全水平�,能有效減少各類的網(wǎng)絡(luò)事件的出現(xiàn);通過聚集相關(guān)科研力量�����,研究相關(guān)技術(shù)手段��,以及如何建立新的電子交易的信任體系����,為電子商務(wù)等互聯(lián)網(wǎng)應(yīng)用的普及和順利發(fā)展提供前瞻性的技術(shù)研究方面具有積極意義�����。
對于目前跨國化趨勢的各類網(wǎng)絡(luò)安全事件,可以通過國際組織之間的合作���,利用其協(xié)調(diào)機(jī)制�,予以積極處理����。事實(shí)上,從CNCERT/CC成立以來��,已經(jīng)成功地處理了多起境外應(yīng)急響應(yīng)組織提交的網(wǎng)絡(luò)仿冒等安全事件協(xié)查請求���,關(guān)閉了上百個(gè)各類仿冒網(wǎng)站�;同時(shí)�����,CNCERT/CC充分發(fā)揮其組織����、協(xié)調(diào)作用,成功地處理了國內(nèi)網(wǎng)頁篡改、網(wǎng)絡(luò)仿冒�����、木馬等網(wǎng)絡(luò)安全事件�。
3.2建立整體的網(wǎng)絡(luò)安全架構(gòu) 切實(shí)保障電子商務(wù)的應(yīng)用發(fā)展
從各類網(wǎng)絡(luò)安全事件分析中我們看到,電子商務(wù)的網(wǎng)絡(luò)安全問題不是純粹的計(jì)算機(jī)安全問題��,從企業(yè)的角度出發(fā)��,應(yīng)該建立整體的電子商務(wù)網(wǎng)絡(luò)安全架構(gòu)���,結(jié)合安全管理以及具體的安全保護(hù)��、安全監(jiān)控��、事件響應(yīng)和恢復(fù)等一套機(jī)制來保障電子商務(wù)的正常應(yīng)用�。
3.2.1安全管理
安全管理主要是通過嚴(yán)格科學(xué)的管理手段以達(dá)到保護(hù)企業(yè)網(wǎng)絡(luò)安全的目的����。內(nèi)容可包括安全管理制度的制定、實(shí)施和監(jiān)督�����,安全策略的制定、實(shí)施���、評估和修改,相關(guān)人員的安全意識(shí)的培訓(xùn)��、教育����,日常安全管理的具體要求與落實(shí)等。
3.2.2安全保護(hù)
安全保護(hù)主要是指應(yīng)用網(wǎng)絡(luò)安全產(chǎn)品��、工具和技術(shù)保護(hù)網(wǎng)絡(luò)系統(tǒng)��、數(shù)據(jù)和用戶�。這種保護(hù)主要是指靜態(tài)保護(hù),通常是一些基本的防護(hù)�����,不具有實(shí)時(shí)性����,如在防火墻的規(guī)則中實(shí)施一條安全策略,禁止所有外部網(wǎng)用戶到內(nèi)部網(wǎng)Web服務(wù)器的連接請求���,一旦這條規(guī)則生效�����,它就會(huì)持續(xù)有效����,除非我們改變這條規(guī)則。這樣的保護(hù)能預(yù)防已知的一些安全威脅����,而且通常這些威脅不會(huì)變化,所以稱為靜態(tài)保護(hù)�����。
3.2.3安全監(jiān)控/審計(jì)
安全監(jiān)控主要是指實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)上正在發(fā)生的事情���,這是任何一個(gè)網(wǎng)絡(luò)管理員都想知道的�����。審計(jì)一直被認(rèn)為是經(jīng)典安全模型的一個(gè)重要組成部分�。審計(jì)是通過記錄通過網(wǎng)絡(luò)的所有數(shù)據(jù)包�,然后分析這些數(shù)據(jù)包�,幫助查找已知的攻擊手段�、可疑的破壞行為,來達(dá)到保護(hù)網(wǎng)絡(luò)的目的�����。
安全監(jiān)控和審計(jì)是實(shí)時(shí)保護(hù)的一種策略�,它主要滿足一種動(dòng)態(tài)安全的需求�����。因?yàn)榫W(wǎng)絡(luò)安全技術(shù)在發(fā)展的同時(shí)����,黑客技術(shù)也在不斷的發(fā)展,網(wǎng)絡(luò)安全不是一成不變的�,也許今天對你來說安全的策略,明天就會(huì)變得不安全�,因此我們應(yīng)該時(shí)刻關(guān)注網(wǎng)絡(luò)安全的發(fā)展動(dòng)向以及網(wǎng)絡(luò)上發(fā)生的各種各樣的事情,以便及時(shí)發(fā)現(xiàn)新的攻擊����,制定新的安全策略?���?梢赃@樣說���,安全保護(hù)是基本,安全監(jiān)控和審計(jì)是其有效的補(bǔ)充�,兩者的有效結(jié)合,才能較好地滿足動(dòng)態(tài)安全的需要���。
3.2.4事件響應(yīng)與恢復(fù)
事件響應(yīng)與恢復(fù)主要針對發(fā)生攻擊事件時(shí)相應(yīng)的應(yīng)急措施與恢復(fù)正常應(yīng)用的機(jī)制���。就是當(dāng)攻擊發(fā)生時(shí),能及時(shí)做出響應(yīng)���,這需要建立一套切實(shí)有效�����、操作性強(qiáng)的響應(yīng)機(jī)制���,及時(shí)防止攻擊的進(jìn)一步發(fā)展。響應(yīng)是整個(gè)安全架構(gòu)中的重要組成部分��,因?yàn)榫W(wǎng)絡(luò)構(gòu)筑沒有絕對的安全�,安全事件的發(fā)生是不可能完全避免的�����,當(dāng)安全事件發(fā)生的時(shí)候���,應(yīng)該有相應(yīng)的機(jī)制快速反應(yīng),以便讓管理員及時(shí)了解攻擊情況��,采取相應(yīng)措施修改安全策略���,盡量減少并彌補(bǔ)攻擊的損失,防止類似攻擊的再次發(fā)生����。
當(dāng)安全事件發(fā)生后,對系統(tǒng)可能會(huì)造成不同程度的破壞��,如網(wǎng)絡(luò)不能正常工作��、系統(tǒng)數(shù)據(jù)被破壞等���,這時(shí)�,必須有一套機(jī)制能盡快恢復(fù)系統(tǒng)的正常應(yīng)用�����,因?yàn)楣艏热灰呀?jīng)發(fā)生了,系統(tǒng)也遭到了破壞����,這時(shí)只有讓系統(tǒng)以最快的速度運(yùn)行起來才是最重要的,否則損失將更為嚴(yán)重����。因此恢復(fù)在電子商務(wù)安全的整體架構(gòu)中也是不可缺少的組成部分。 4小結(jié)
Internet的快速發(fā)展��,使電子商務(wù)逐漸進(jìn)入人們的日常生活����,而伴隨各類網(wǎng)絡(luò)安全事件的日益增加與發(fā)展,電子商務(wù)的安全問題也變得日益突出���,建立一個(gè)安全�、便捷的電子商務(wù)應(yīng)用環(huán)境����,已經(jīng)成為商家和用戶密切關(guān)注的話題。
本文主要從目前深刻影響電子商務(wù)應(yīng)用與發(fā)展的幾種主要的網(wǎng)絡(luò)安全事件類型出發(fā),闡述了電子商務(wù)的網(wǎng)絡(luò)安全問題����,并從國家相關(guān)法制建設(shè)的大環(huán)境,應(yīng)急響應(yīng)組織的作用與意義��,以及企業(yè)具體的電子商務(wù)網(wǎng)絡(luò)安全整體架構(gòu)等方面����,給出一些建議與思考。
參考文獻(xiàn)
1
CNCERT/CC.“2005年上半年網(wǎng)絡(luò)安全工作報(bào)告”
2
CNCERT/CC上海分中心.“網(wǎng)絡(luò)欺詐的分析和研究”.2005年3月
3
第2篇
關(guān)鍵詞:商業(yè)銀行����;電子商務(wù);風(fēng)險(xiǎn)管理
商業(yè)銀行從事金融業(yè)務(wù)面臨著市場風(fēng)險(xiǎn)�����、信用風(fēng)險(xiǎn)���、以及操作風(fēng)險(xiǎn)等,而電子商務(wù)的出現(xiàn)則加劇了上述各類風(fēng)險(xiǎn)發(fā)生的可能性以及風(fēng)險(xiǎn)發(fā)生之后的破壞程度���。2004年以來��,我國面臨的網(wǎng)絡(luò)仿冒威脅正在逐漸加大�����,仿冒對象主要是金融網(wǎng)站和電子商務(wù)網(wǎng)站���。2005年上半年共收到網(wǎng)絡(luò)安全事件報(bào)告65679件����,超過2004年全年案件數(shù)��,商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)管理策略已成為理論與實(shí)踐中必須重視的課題�����。
一�����、信息安全管理的策略大體遵循事件驅(qū)動(dòng)(技術(shù)和管理脫節(jié))-逐漸標(biāo)準(zhǔn)化(技術(shù)和管理逐漸結(jié)合)——安全風(fēng)險(xiǎn)管理(引入了風(fēng)險(xiǎn)分析)的發(fā)展路徑�����。
(一)以事件驅(qū)動(dòng)的初級階段時(shí)期
19世紀(jì)70年代安全主要是指物理設(shè)備和環(huán)境的安全�,人與計(jì)算機(jī)之間的交互主要局限在大型計(jì)算機(jī)上的啞終端,安全問題只涉及能訪問終端的少數(shù)人。安全管理策略處于初級階段�����,由事件驅(qū)動(dòng)����,沒有形成規(guī)范的管理流程。在此階段的前期�����,只重視技術(shù)手段�����。后期開始重視管理手段����,但是技術(shù)和管理之間脫節(jié)。許多組織對信息安全制定了相應(yīng)的規(guī)章和制度��,但組織的信息安全管理基本上還處在一種靜態(tài)���、局部、少數(shù)人負(fù)責(zé)、突擊式���、事后糾正式的管理方式�。
(二)標(biāo)準(zhǔn)化時(shí)期
企業(yè)開始將安全問題作為整體考慮�,形成一套較為完整的安全管理策略,其中包括了安全管理的技術(shù)手段和管理制度(或稱運(yùn)作管理)�。幾乎所有從事電子商務(wù)的企業(yè)都擁有自己的安全策略,內(nèi)容也包括了技術(shù)手段����、安全管理制度、人員安全教育等等�,基本上形成體系,技術(shù)和管理手段綜合統(tǒng)一�����,但是安全風(fēng)險(xiǎn)分析還存在不足之處��。
(三)安全風(fēng)險(xiǎn)管理策略時(shí)期
隨著電子商務(wù)安全管理發(fā)展到一個(gè)比較高的層次���,安全管理策略也演進(jìn)到安全風(fēng)險(xiǎn)管理階段�����。主要特點(diǎn)如下:
1.安全風(fēng)險(xiǎn)管理成為主流趨勢���;在安全管理策略的演進(jìn)過程中��,技術(shù)和管理手段綜合統(tǒng)
一�����、又融入了風(fēng)險(xiǎn)管理的分析����、防范策略�,從而安全管理進(jìn)入了安全風(fēng)險(xiǎn)管理時(shí)期。西方商業(yè)銀行已對安全風(fēng)險(xiǎn)管理形成共識(shí)���。如安氏公司(is—One)�,認(rèn)為信息安全問題最終將歸結(jié)為風(fēng)險(xiǎn)管理問題��,風(fēng)險(xiǎn)管理方法是建立良性的安全技術(shù)和管理體系的依據(jù)和基礎(chǔ)�����。
2.安全風(fēng)險(xiǎn)管理的國際標(biāo)準(zhǔn)和各國的規(guī)范逐漸形成并趨于完善�。國際上關(guān)于安全風(fēng)險(xiǎn)管理的標(biāo)準(zhǔn)有巴塞爾銀行監(jiān)管委員會(huì)的《電子銀行業(yè)務(wù)風(fēng)險(xiǎn)管理原則》、英國標(biāo)準(zhǔn)協(xié)會(huì)制訂的BS7799等����。各國也日益重視安全風(fēng)險(xiǎn)管理,制定了許多規(guī)范����。例如美國貨幣監(jiān)理署(OCC)的《電子銀行最終規(guī)則》、香港金融管理局的《電子銀行服務(wù)的安全風(fēng)險(xiǎn)管理》等��。中國銀行業(yè)監(jiān)督管理委員也于2006年頒布了《電子銀行業(yè)務(wù)管理辦法》�,對國內(nèi)企業(yè)的電子商務(wù)安全風(fēng)險(xiǎn)管理給出了指導(dǎo)意見。
3.利用外部專業(yè)化機(jī)構(gòu)對金融機(jī)構(gòu)的安全性評估已成為大部分國家的選擇�����。電子銀行面臨的安全和技術(shù)風(fēng)險(xiǎn)�����,在相當(dāng)程度上取決于采用的信息技術(shù)的先進(jìn)程度�,系統(tǒng)的設(shè)計(jì)開發(fā)水平,以及相關(guān)設(shè)施設(shè)備及其供應(yīng)商的選擇等����;銀行依靠傳統(tǒng)的風(fēng)險(xiǎn)管理機(jī)制已很難識(shí)別��、監(jiān)測�����、控制和管理相關(guān)風(fēng)險(xiǎn)����。同樣��,監(jiān)管機(jī)構(gòu)也難以完全依靠自身的力量對電子銀行的安全性進(jìn)行準(zhǔn)確評價(jià)和監(jiān)控����。因此,大部分國家都采用了依靠外部專業(yè)化機(jī)構(gòu)定期對電子銀行安全性進(jìn)行評估的辦法����,加強(qiáng)對電子銀行安全性和技術(shù)風(fēng)險(xiǎn)的管理和監(jiān)管。
4.在許多國家信息系統(tǒng)審計(jì)(IsAudit)作為一種信息技術(shù)服務(wù)被廣泛提供���,許多知名的咨詢公司都提供類似的信息審計(jì)服務(wù)����。業(yè)界的IT風(fēng)險(xiǎn)分析師也成為一種職業(yè),專門從事電子商務(wù)的安全風(fēng)險(xiǎn)工作�,從經(jīng)濟(jì)學(xué)的角度出發(fā)分析風(fēng)險(xiǎn),充分衡量保持安全的代價(jià)和收益之間的關(guān)系����,尋求用最小的代價(jià)實(shí)現(xiàn)最大的效用���,在風(fēng)險(xiǎn)分析中也形成一套較為成熟的模式�。
二��、我國商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)管理策略的薄弱點(diǎn)
(一)系統(tǒng)管理思想缺乏
目前的電子商務(wù)安全風(fēng)險(xiǎn)管理策略���,在全局上缺乏系統(tǒng)論理論的指導(dǎo)����,在實(shí)際操作中受到多種多樣的安全攻擊時(shí)會(huì)不可避免地出現(xiàn)安全漏洞��,無法形成一張全面有序的安全網(wǎng)絡(luò)�。
實(shí)踐中被采用的安全風(fēng)險(xiǎn)管理策略,以及作為指導(dǎo)意見的規(guī)則規(guī)范�,如《信息安全管理實(shí)務(wù)準(zhǔn)則》(IS017799)、《信息技術(shù)安全性評估準(zhǔn)則》(GB/T18336.1)���、巴塞爾銀行監(jiān)管委員會(huì)的《電子銀行業(yè)務(wù)風(fēng)險(xiǎn)管理原則》����,盡管提出了比較全面的安全風(fēng)險(xiǎn)管理方案,層次上也比較清晰����,但是還不足以作為一個(gè)風(fēng)險(xiǎn)防范系統(tǒng)。實(shí)踐中�,電子商務(wù)組織是一個(gè)復(fù)雜的系統(tǒng)組織,電子商務(wù)的安全風(fēng)險(xiǎn)管理體系和過程也是個(gè)復(fù)雜的系統(tǒng)��。系統(tǒng)論�、控制論的思想在電子商務(wù)安全風(fēng)險(xiǎn)管理中是不可或缺的。
(二)風(fēng)險(xiǎn)分析的模型與方法不成熟����,定量分析不足
電子商務(wù)模式自身的發(fā)展歷史也不過20幾年,在風(fēng)險(xiǎn)分析的定量技術(shù)上并不成熟��;如BS7799中推薦的電子商務(wù)安全風(fēng)險(xiǎn)管理中實(shí)施風(fēng)險(xiǎn)評估時(shí)���,往往將威脅發(fā)生的可能性定性劃分為幾個(gè)級別�,將威脅所造成的影響也定性劃分為1~5級����,實(shí)質(zhì)上是將一些按照概率發(fā)生的事件定義為不連續(xù)的幾個(gè)級別����,在操作上易行�����,但造成了度量的不精確��。在進(jìn)行監(jiān)控和審計(jì)之后�����,也存在無法量化�、對比的問題�。
(三)忽視與原有的傳統(tǒng)風(fēng)險(xiǎn)管理策略的結(jié)合
本質(zhì)上,電子商務(wù)的安全風(fēng)險(xiǎn)無非是新興的商業(yè)模式對傳統(tǒng)的風(fēng)險(xiǎn)的改變����,以及產(chǎn)生的在傳統(tǒng)風(fēng)險(xiǎn)控制領(lǐng)域暫時(shí)無法明晰的新風(fēng)險(xiǎn);現(xiàn)有管理策略只從信息技術(shù)的角度����、或者從偏重技術(shù)的角度看待問題,站在金融領(lǐng)域本身來分析研究較少。這種狀況導(dǎo)致了對電子商務(wù)安全風(fēng)險(xiǎn)管理的研究無法立足于一個(gè)比較高的層次�����;忽略了風(fēng)險(xiǎn)的整體性����,只進(jìn)行偏信息和技術(shù)的研究,導(dǎo)致了現(xiàn)有的電子商務(wù)安全風(fēng)險(xiǎn)管理策略與金融機(jī)構(gòu)原有的傳統(tǒng)業(yè)務(wù)風(fēng)險(xiǎn)管理策略存在差距�。對于商業(yè)銀行而言,傳統(tǒng)金融業(yè)務(wù)的風(fēng)險(xiǎn)控制與電子商務(wù)的技術(shù)風(fēng)險(xiǎn)控制��,兩個(gè)方面存在脫節(jié)�����,同樣屬于商業(yè)銀行的風(fēng)險(xiǎn)�,存在著不同的管理策略,導(dǎo)致多頭管理�、資源浪費(fèi)、機(jī)構(gòu)之間的扯皮���,乃至缺位管理���。
(四)風(fēng)險(xiǎn)管理策略無法依賴外部的信息安全管理行業(yè)
在發(fā)達(dá)國家�����,信息系統(tǒng)審計(jì)(IsAudit)作為一種信息技術(shù)服務(wù)被廣泛提供����,許多知名的咨詢公司都提供類似的信息審計(jì)服務(wù)�����。IT風(fēng)險(xiǎn)分析師也成為一種職業(yè)�����,專門從事電子商務(wù)的安全風(fēng)險(xiǎn)工作����。商業(yè)銀行采用依靠外部專業(yè)化機(jī)構(gòu)定期對電子銀行的安全性進(jìn)行評估的辦法��,提高對電子銀行安全性和技術(shù)風(fēng)險(xiǎn)的管理和監(jiān)管�����。而國內(nèi)初步建立了國家信息安全組織保障體系����,制定和引進(jìn)了一批重要的信息安全管理標(biāo)準(zhǔn)�、法律法規(guī)���,風(fēng)險(xiǎn)評估工作得到了一定重視���,但與發(fā)達(dá)國家成熟完善的外部信息安全管理行業(yè)仍有很大差距。
(五)風(fēng)險(xiǎn)管理策略中商業(yè)銀行的內(nèi)部風(fēng)險(xiǎn)控制能力薄弱
我國商業(yè)銀行目前均建立起統(tǒng)一的風(fēng)險(xiǎn)管理部門��;但風(fēng)險(xiǎn)控制部門的職能�����、權(quán)限與花旗銀行等體制較為先進(jìn)的銀行相比仍然存在較大差距�,風(fēng)險(xiǎn)控制實(shí)質(zhì)上仍然分散在各個(gè)子部門;風(fēng)險(xiǎn)的評估�����、防范與控制實(shí)質(zhì)上完全依靠商業(yè)銀行的電子交易部門��;風(fēng)險(xiǎn)管理部門�、內(nèi)審稽核部門實(shí)質(zhì)上無法控制電子商務(wù)安全風(fēng)險(xiǎn)。例如�����,風(fēng)險(xiǎn)管理部門接受了電子交易部的風(fēng)險(xiǎn)控制報(bào)告,表面上履行的內(nèi)控審核的流程���,但審核作用有限���,無法完成電子商務(wù)安全風(fēng)險(xiǎn)管理中的監(jiān)控與審計(jì)環(huán)節(jié)。
三�����、商業(yè)銀行的電子商務(wù)安全風(fēng)險(xiǎn)管理策略的改進(jìn)建議
(一)基于系統(tǒng)的思想構(gòu)建商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)管理策略框架
利用系統(tǒng)理論作為總體的指導(dǎo)思想����,將電子商務(wù)安全風(fēng)險(xiǎn)管理策略本身當(dāng)作一個(gè)開放的自適應(yīng)系統(tǒng)。將商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)管理中的各個(gè)環(huán)節(jié)組成循環(huán)上升的系統(tǒng)����。
在商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)控制的流程中�,經(jīng)過信息安全的風(fēng)險(xiǎn)評估、資產(chǎn)識(shí)別和選擇���、實(shí)施控制降低風(fēng)險(xiǎn)的措施���、將風(fēng)險(xiǎn)控制在可接受的范圍內(nèi)�,然后進(jìn)行監(jiān)控和審計(jì)�;尤其重要的是把監(jiān)控和審計(jì)所得到的內(nèi)容作為新一輪風(fēng)險(xiǎn)分析輸入,從而開始新一輪的風(fēng)險(xiǎn)管理過程����。商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)管理的各個(gè)步驟為動(dòng)態(tài)的循環(huán)系統(tǒng)。每完成一個(gè)循環(huán)�,安全風(fēng)險(xiǎn)管理的有效性就上一個(gè)臺(tái)階,商業(yè)銀行的安全管理水平變得到了提高����。新晨
(二)電子商務(wù)安全風(fēng)險(xiǎn)管理中定量分析中的改進(jìn)思路
商業(yè)銀行可以借鑒成熟的傳統(tǒng)金融風(fēng)險(xiǎn)度量中的一些方法來改變電子商務(wù)安全風(fēng)險(xiǎn)管理中對資產(chǎn)進(jìn)行粗略的優(yōu)先級別排序的方法。實(shí)踐中���,商業(yè)銀行對操作風(fēng)險(xiǎn)的管理與對電子商務(wù)安全風(fēng)險(xiǎn)管理有其相似之處��。巴塞爾委員會(huì)對商業(yè)銀行的操作風(fēng)險(xiǎn)的內(nèi)部計(jì)量法中規(guī)定�,商業(yè)銀行內(nèi)部估計(jì)風(fēng)險(xiǎn)敞口指標(biāo)����、損失事件發(fā)生的概率、風(fēng)險(xiǎn)損失����,巴塞爾委員會(huì)制定資本要求的轉(zhuǎn)換系數(shù)���;在度量損失的分布時(shí),主要利用統(tǒng)計(jì)和精算技術(shù)�����。商業(yè)銀行應(yīng)通過數(shù)據(jù)庫將威脅發(fā)生的頻率�、威脅所造成的影響等精確記錄下來,利用現(xiàn)有的度量方法進(jìn)行精確的風(fēng)險(xiǎn)定量分析的嘗試���。
(三)將商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)納入商業(yè)銀行總體風(fēng)險(xiǎn)管理范疇
第3篇
電子商務(wù)的存在和發(fā)展���,是以網(wǎng)絡(luò)技術(shù)的革新為前提。電子商務(wù)系統(tǒng)的構(gòu)建���、運(yùn)行及維護(hù)���,都離不開技術(shù)的支持�����。同時(shí),由于電子商務(wù)適合于各種大�����、小型企業(yè)��,所以應(yīng)采取措施來保障電子商務(wù)網(wǎng)站的安全���。
一����、電子商務(wù)中存在安全的問題
(一)網(wǎng)絡(luò)信息安全方面
1.服務(wù)器的安全問題��。電子商務(wù)服務(wù)器是電子商務(wù)的核心��,安裝了大量的與電子商務(wù)有關(guān)的軟件和商家信息����,并且服務(wù)器上的數(shù)據(jù)庫里有電子商務(wù)活動(dòng)過程中的一些保密數(shù)據(jù)。因此服務(wù)器特別容易受到安全的威脅����,并且一旦出現(xiàn)安全問題,造成的后果也是非常嚴(yán)重。
2.網(wǎng)絡(luò)信息的安全問題���。非法用戶在網(wǎng)絡(luò)的傳輸上使用不正當(dāng)手法����,非法攔截會(huì)話數(shù)據(jù)獲得合法用戶的有效信息�,最終導(dǎo)致合法用戶的一些核心業(yè)務(wù)數(shù)據(jù)泄密或者是非法用戶對截獲的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行一些惡意篡改,如增加��、減少和刪除等操作�����,從而使信息失去真實(shí)性和完整性����,導(dǎo)致合法用戶無法正常交易,還有一些非法用戶利用截獲的網(wǎng)絡(luò)數(shù)據(jù)包再次發(fā)送���,惡意攻擊對方的網(wǎng)絡(luò)硬件和軟件����。
3.網(wǎng)絡(luò)安全中的病毒問題�。互聯(lián)網(wǎng)的出現(xiàn)為電腦病毒的傳播提供了最好的媒介,不少新病毒直接以互聯(lián)網(wǎng)作為自己的傳播途徑����,電腦病毒問世10多年來�,各種新型病毒及其變種迅速增加,不少新病毒直接以互聯(lián)網(wǎng)作為自己的傳播途徑�,還有眾多病毒借助于互聯(lián)網(wǎng)傳播得更快,如何在電子商務(wù)領(lǐng)域如何有效防范病毒也是一個(gè)十分緊迫的問題���。
(二)電子商務(wù)交易方面
1.交易身份的不確定��。電子商務(wù)是一種全球各地廣泛的商業(yè)貿(mào)易活動(dòng)在開放的網(wǎng)絡(luò)環(huán)境下����,基于瀏覽器/服務(wù)器應(yīng)用方式�,在買賣雙方不謀面的情況下進(jìn)行各種商貿(mào)活動(dòng),實(shí)現(xiàn)消費(fèi)者的網(wǎng)上購物�����、商戶之間的網(wǎng)上交易和在線電子支付以及各種商務(wù)活動(dòng)�、交易活動(dòng)、金融活動(dòng)和相關(guān)的綜合服務(wù)活動(dòng)�。正是基于這個(gè)特點(diǎn)攻擊者可以通過非法的手段盜竊合法用戶的身份信息,仿冒合法用戶的身份與他人進(jìn)行交易。
2.交易協(xié)議安全性問題��。企業(yè)和用戶在電子交易過程中的數(shù)據(jù)是以數(shù)據(jù)包的形式來傳送的�����,惡意攻擊者很容易對某個(gè)電子商務(wù)網(wǎng)站展開數(shù)據(jù)包攔截�����,甚至對數(shù)據(jù)包進(jìn)行修改和假冒����。TCP/IP協(xié)議是建立在可信的環(huán)境之下,缺乏相應(yīng)的安全機(jī)制���,這種基于地址的協(xié)議本身就會(huì)泄露口令���,根本沒有考慮安全問題;TCP/IP協(xié)議是完全公開的����,其遠(yuǎn)程訪問的功能使許多攻擊者無須到現(xiàn)場就能夠得手,連接的主機(jī)基于互相信任的原則等這些性質(zhì)使網(wǎng)絡(luò)更加不安全�。
二�����、加強(qiáng)電子商務(wù)網(wǎng)站的安全措施
我們從技術(shù)手段的角度����,從系統(tǒng)安全和數(shù)據(jù)安全的不同層面來探索電子商務(wù)中出現(xiàn)的網(wǎng)絡(luò)安全新問題���。
(一)信息系統(tǒng)安全
對于一個(gè)企業(yè)來說,信息的安全尤為重要�����,這種安全首先取決于系統(tǒng)的安全�。系統(tǒng)安全主要包括網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)和應(yīng)用系統(tǒng)三個(gè)層次�����。系統(tǒng)安全采用的技術(shù)和手段有冗余技術(shù)�����、網(wǎng)絡(luò)隔離技術(shù)����、訪問控制技術(shù)���、身份鑒別技術(shù)、加密技術(shù)�����、監(jiān)控審計(jì)技術(shù)��、安全評估技術(shù)等��。
1.網(wǎng)絡(luò)系統(tǒng)�����。網(wǎng)絡(luò)系統(tǒng)安全是網(wǎng)絡(luò)的開放性���、無邊界性��、自由性造成�����,安全解決的關(guān)鍵是把被保護(hù)的網(wǎng)絡(luò)從開放�����、無邊界�、自由的環(huán)境中獨(dú)立出來,使網(wǎng)絡(luò)成為可控制��、管理的內(nèi)部系統(tǒng)���,由于網(wǎng)絡(luò)系統(tǒng)是應(yīng)用系統(tǒng)的基礎(chǔ)���,網(wǎng)絡(luò)安全便成為首要新問題��。解決網(wǎng)絡(luò)安全主要方式有如下幾種方法:
一是網(wǎng)絡(luò)冗余����。它是解決網(wǎng)絡(luò)系統(tǒng)單點(diǎn)故障的重要辦法。對關(guān)鍵性的網(wǎng)絡(luò)線路�����、設(shè)備��,通常采用雙備份或多備份的方式�����。網(wǎng)絡(luò)運(yùn)行時(shí)雙方對運(yùn)營狀態(tài)相互實(shí)時(shí)監(jiān)控并自動(dòng)調(diào)整,當(dāng)網(wǎng)絡(luò)的一段或一點(diǎn)發(fā)生故障或網(wǎng)絡(luò)信息流量突變時(shí)能在有效時(shí)間內(nèi)進(jìn)行切換分配�,保證網(wǎng)絡(luò)正常的運(yùn)行。
二是系統(tǒng)隔離����。分為物理隔離和邏輯隔離,主要從網(wǎng)絡(luò)安全等級考慮劃分合理的網(wǎng)絡(luò)安全邊界����,使不同安全級別的網(wǎng)絡(luò)或信息媒介不能相互訪問,從而達(dá)到安全目的����。對業(yè)務(wù)網(wǎng)絡(luò)或辦公網(wǎng)絡(luò)采用VLAN技術(shù)和通信協(xié)議實(shí)行邏輯隔離劃分不同的應(yīng)用子網(wǎng)。
三是訪問控制����。對于網(wǎng)絡(luò)不同信任域?qū)崿F(xiàn)雙向控制或有限訪問原則,使受控的子網(wǎng)或主機(jī)訪問權(quán)限和信息流向能得到有效控制�����。具體相對網(wǎng)絡(luò)對象而言需要解決網(wǎng)絡(luò)的邊界的控制和網(wǎng)絡(luò)內(nèi)部的控制�����,對于網(wǎng)絡(luò)資源來說保持有限訪問的原則,信息流向則可根據(jù)安全需求實(shí)現(xiàn)單向或雙向控制��。訪問控制最重要的設(shè)備就是防火墻�,它一般安置在不同安全域出入口處,對進(jìn)出網(wǎng)絡(luò)的IP信息包進(jìn)行過濾并按企業(yè)安全政策進(jìn)行信息流控制�,同時(shí)實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換、實(shí)時(shí)信息審計(jì)警告等功能�,高級防火墻還可實(shí)現(xiàn)基于用戶的細(xì)粒度的訪問控制。
四是身份鑒別��。是對網(wǎng)絡(luò)訪問者權(quán)限的識(shí)別�,一般通過三種方式驗(yàn)證主體身份,一是主體了解的秘密����,如用戶名����、口令、密鑰����;二是主體攜帶的物品�����,如磁卡�、IC卡���、動(dòng)態(tài)口令卡和令牌卡等���;三是主體特征或能力,如指紋��、聲音�����、視網(wǎng)膜����、簽名等。加密是為了防止網(wǎng)絡(luò)上的竊聽�����、泄漏、篡改和破壞����,保證信息傳輸安全,對網(wǎng)上數(shù)據(jù)使用加密手段是最為有效的方式��。目前加密可以在三個(gè)層次來實(shí)現(xiàn)�����,即鏈路層加密�����、網(wǎng)絡(luò)層加密和應(yīng)用層加密����。鏈路加密側(cè)重通信鏈路而不考慮信源和信宿,它對網(wǎng)絡(luò)高層主體是透明的���。網(wǎng)絡(luò)層加密采用IPSEC核心協(xié)議,具有加密���、認(rèn)證雙重功能��,是在IP層實(shí)現(xiàn)的安全標(biāo)準(zhǔn)����。通過網(wǎng)絡(luò)加密可以構(gòu)造企業(yè)內(nèi)部的虛擬專網(wǎng)(VPN),使企業(yè)在較少投資下得到安全較大的回報(bào)��,并保證用戶的應(yīng)用安全�����。
五是安全監(jiān)測�����。采取信息偵聽的方式尋找未授權(quán)的網(wǎng)絡(luò)訪問嘗試和違規(guī)行為����,包括網(wǎng)絡(luò)系統(tǒng)的掃描、預(yù)警��、阻斷����、記錄、跟蹤等����,從而發(fā)現(xiàn)系統(tǒng)遭受的攻擊傷害���。網(wǎng)絡(luò)掃描監(jiān)測系統(tǒng)作為對付電腦黑客最有效的技術(shù)手段,具有實(shí)時(shí)���、自適應(yīng)���、主動(dòng)識(shí)別和響應(yīng)等特征,廣泛用于各行各業(yè)���。網(wǎng)絡(luò)掃描是針對網(wǎng)絡(luò)設(shè)備的安全漏洞進(jìn)行檢測和分析����,包括網(wǎng)絡(luò)通信服務(wù)�、路由器、防火墻����、郵件、WEB服務(wù)器等���,從而識(shí)別能被入侵者利用非法進(jìn)入的網(wǎng)絡(luò)漏洞。網(wǎng)絡(luò)掃描系統(tǒng)對檢測到的漏洞信息形成具體報(bào)告,包括位置�、具體描述和建議的改進(jìn)方案,使網(wǎng)管能檢測和管理安全風(fēng)險(xiǎn)信息����。
2.操作系統(tǒng)
操作系統(tǒng)是管理計(jì)算機(jī)資源的核心系統(tǒng),負(fù)責(zé)信息發(fā)送���、管理設(shè)備存儲(chǔ)空間和各種系統(tǒng)資源的調(diào)度�����,它作為應(yīng)用系統(tǒng)的軟件平臺(tái)具有通用性和易用性�,操作系統(tǒng)安全性直接關(guān)系到應(yīng)用系統(tǒng)的安全��,操作系統(tǒng)安全分為應(yīng)用安全和安全漏洞掃描���。
一是應(yīng)用安全��。面向應(yīng)用選擇可靠的操作系統(tǒng)����,可以杜絕使用來歷不明的軟件���。用戶可安裝操作系統(tǒng)保護(hù)和恢復(fù)軟件�����,并作相應(yīng)的備份�����。
二是系統(tǒng)掃描��。它基于主機(jī)的安全評估系統(tǒng)���,是對系統(tǒng)的安全風(fēng)險(xiǎn)級別進(jìn)行劃分���,并提供完整的安全漏洞檢查列表,通過不同版本的操作系統(tǒng)進(jìn)行掃描分析����,對掃描漏洞自動(dòng)修補(bǔ)形成報(bào)告,保護(hù)應(yīng)用程序�����、數(shù)據(jù)免受盜用�、破壞���。
3.應(yīng)用系統(tǒng)
辦公系統(tǒng)文件(郵件)的安全存儲(chǔ)摘要:利用加密手段,配合相應(yīng)的身份鑒別和密鑰保護(hù)機(jī)制(IC卡�、PCMCIA安全PC卡等)����,使得存儲(chǔ)于本機(jī)和網(wǎng)絡(luò)服務(wù)器上的個(gè)人和單位重要文件處于安全存儲(chǔ)的狀態(tài),使得他人即使通過各種手段非法獲取相關(guān)文件或存儲(chǔ)介質(zhì)(硬盤等)�,也無法獲得相關(guān)文件的內(nèi)容。
文件(郵件)的安全傳送���,對通過網(wǎng)絡(luò)(遠(yuǎn)程或近程)傳送給他人的文件進(jìn)行安全處理(加密����、簽名���、完整性鑒別等)�����,使得被傳送的文件只有指定的收件者通過相應(yīng)的安全鑒別機(jī)制(IC卡�、PCMCIA PC卡)才能解密并閱讀����,杜絕了文件在傳送或到達(dá)對方的存儲(chǔ)過程中被截獲����、篡改等�����,主要用于信息網(wǎng)中的報(bào)表傳送�、公文下發(fā)等。
業(yè)務(wù)系統(tǒng)的安全��,主要面向業(yè)務(wù)管理和信息服務(wù)的安全需求�。對通用信息服務(wù)系統(tǒng)(電子郵件系統(tǒng)、WEB信息服務(wù)系統(tǒng)���、FTP服務(wù)系統(tǒng)等)采用基于應(yīng)用開發(fā)安全軟件����,如安全郵件系統(tǒng)���、WEB頁面保護(hù)等���;對業(yè)務(wù)信息可以配合管理系統(tǒng)采取對信息內(nèi)容的審計(jì)稽查��,防止外部非法信息侵入和內(nèi)部敏感信息泄漏�。
(二)數(shù)據(jù)安全
數(shù)據(jù)安全牽涉到數(shù)據(jù)庫的安全和數(shù)據(jù)本身安全�����,針對兩者應(yīng)有相應(yīng)的安全辦法���。
一是數(shù)據(jù)庫安全。大中型企業(yè)一般采用具有一定安全級別的SYBASE或ORACLE大型分布式數(shù)據(jù)庫�,基于數(shù)據(jù)庫的重要性,應(yīng)在此基礎(chǔ)上開發(fā)一些安全辦法�,增加相應(yīng)控件,對數(shù)據(jù)庫分級管理并提供可靠的故障恢復(fù)機(jī)制�,實(shí)現(xiàn)數(shù)據(jù)庫的訪問、存取��、加密控制���。具體實(shí)現(xiàn)方法有安全數(shù)據(jù)庫系統(tǒng)�、數(shù)據(jù)庫保密系統(tǒng)�����、數(shù)據(jù)庫掃描系統(tǒng)等。
二是數(shù)據(jù)安全�。指存儲(chǔ)在數(shù)據(jù)庫數(shù)據(jù)本身的安全,相應(yīng)的保護(hù)辦法有安裝反病毒軟件���,建立可靠的數(shù)據(jù)備份和恢復(fù)系統(tǒng)�,某些重要數(shù)據(jù)甚至可以采取加密保護(hù)�。
(三)網(wǎng)絡(luò)交易平臺(tái)的安全
網(wǎng)上交易安全位于系統(tǒng)安全風(fēng)險(xiǎn)之上,在數(shù)據(jù)安全風(fēng)險(xiǎn)之下����。只有提供一定的安全保證,在線交易的網(wǎng)民才會(huì)具有安全感�,電子商務(wù)網(wǎng)站才會(huì)具有發(fā)展的空間。
一是交易安全標(biāo)準(zhǔn)����。目前在電子商務(wù)中主要的安全標(biāo)準(zhǔn)有兩種摘要:應(yīng)用層的SET(安全電子交易)和會(huì)話層SSL(安全套層)協(xié)議。前者由信用卡機(jī)構(gòu)VISA及MasterCard提出的針對電子錢包/商場/認(rèn)證中心的安全標(biāo)準(zhǔn)�����,主要用于銀行等金融機(jī)構(gòu)��;后者由NETSCAPE公司提出針對數(shù)據(jù)的機(jī)密性/完整性/身份確認(rèn)/開放性的安全協(xié)議,事實(shí)上已成為WWW網(wǎng)絡(luò)的應(yīng)用安全標(biāo)準(zhǔn)�。
二是交易安全基礎(chǔ)體系。交易安全基礎(chǔ)是現(xiàn)代密碼技術(shù)��,依靠于加密方法和強(qiáng)度�。加密分為單密鑰的對稱加密體系和雙密鑰的非對稱加密體系。兩者各有所長�,對稱密鑰具有加密效率高,但存在密鑰分發(fā)困難��、管理不便的弱點(diǎn)��;非對稱密鑰加密速度慢��,但便于密鑰分發(fā)管理��。通常把兩者結(jié)合使用�����,以達(dá)到高效安全的目的��。
三是交易安全的實(shí)現(xiàn)�。交易安全的實(shí)現(xiàn)主要有交易雙方身份確認(rèn)��、交易指令及數(shù)據(jù)加密傳輸、數(shù)據(jù)的完整性��、防止雙方對交易結(jié)果的抵賴等等����。具體實(shí)現(xiàn)的途徑是交易各方具有相關(guān)身份證實(shí),同時(shí)在SSL協(xié)議體系下完成交易過程中電子證書驗(yàn)證����、數(shù)字簽名、指令數(shù)據(jù)的加密傳輸����、交易結(jié)果確認(rèn)審計(jì)等。
隨著電子商務(wù)的發(fā)展�,網(wǎng)上交易越來越頻繁,調(diào)用每項(xiàng)服務(wù)時(shí)需要用戶證實(shí)身份�,也需要這些服務(wù)器向客戶證實(shí)他們自己的身份。而保障身份安全的最有效的技術(shù)就是PKI技術(shù)�����。PKI的應(yīng)用主要是在它的CA認(rèn)證技術(shù)�����。CA(Certification Authorty)是一個(gè)確保信任度的權(quán)威實(shí)體,主要職責(zé)是頒發(fā)證書�����、驗(yàn)證用戶身份的真實(shí)性��。由CA簽發(fā)的網(wǎng)絡(luò)用戶電子身份證實(shí)—證書��,任何相信該CA的人����,按照第三方信任原則,都應(yīng)當(dāng)相信持有證實(shí)的該用戶����。CA也要采取一系列相應(yīng)的辦法來防止電子證書被偽造或篡改。構(gòu)建一個(gè)具有較強(qiáng)安全性的CA是至關(guān)重要的����,這不僅和密碼學(xué)有關(guān)系���,而且和整個(gè)PKI系統(tǒng)的構(gòu)架和模型有關(guān)����。此外,靈活也是CA能否得到市場認(rèn)同的一個(gè)關(guān)鍵�,它不需支持各種通用的國際標(biāo)準(zhǔn),并能很好地和其他廠家的CA產(chǎn)品兼容�。在不久的將來,PKI技術(shù)會(huì)在電子商務(wù)和網(wǎng)絡(luò)安全中得到更廣泛的應(yīng)用�����,從而真正保障用戶和商家的身份安全���。
三�、信息安全的發(fā)展方向
從歷史角度看�,我國信息網(wǎng)絡(luò)安全探究歷經(jīng)了通信保密、數(shù)據(jù)保護(hù)兩個(gè)階段���,正在進(jìn)入網(wǎng)絡(luò)信息安全探究階段�����,現(xiàn)已開發(fā)研制出防火墻���、安全路由器、安全網(wǎng)關(guān)�����、黑客入侵檢測、系統(tǒng)脆弱性掃描軟件等��。但因信息網(wǎng)絡(luò)安全領(lǐng)域是一個(gè)綜合��、交叉的學(xué)科領(lǐng)域���,它綜合利用了數(shù)學(xué)����、物理��、生化信息技術(shù)和計(jì)算機(jī)技術(shù)的諸多學(xué)科的長期積累和最新發(fā)展成果��,提出系統(tǒng)的�����、完整的和協(xié)同的解決信息網(wǎng)絡(luò)安全的方案�����,從安全體系結(jié)構(gòu)����、安全協(xié)議、現(xiàn)代密碼理論���、信息分析和監(jiān)控以及信息安全系統(tǒng)五個(gè)方面開展探究�����,各部分相互協(xié)同形成有機(jī)整體�����。
安全協(xié)議作為信息安全的重要內(nèi)容�����,其形式化方法分析始于80年代初�,目前有基于狀態(tài)機(jī)�����、模態(tài)邏輯和代數(shù)工具的三種分析方法����,但仍有局限性和漏洞���,處于發(fā)展的提高階段。作為信息安全關(guān)鍵技術(shù)密碼學(xué)�,近年來空前活躍,美�����、歐���、亞各洲舉行的密碼學(xué)和信息安全學(xué)術(shù)會(huì)議頻繁��。1976年美國學(xué)者提出的公開密鑰密碼體制���,克服了網(wǎng)絡(luò)信息系統(tǒng)密鑰管理的困難,同時(shí)解決了數(shù)字簽名新問題�,它是當(dāng)前探究的熱點(diǎn)。
第4篇
[關(guān)鍵詞]Agent 電子商務(wù)實(shí)驗(yàn)室 安全設(shè)計(jì)
電子商務(wù)實(shí)驗(yàn)室旨在建立一個(gè)Internet環(huán)境下的電子商務(wù)模擬環(huán)境�����,實(shí)現(xiàn)情景教學(xué)��。若想成功地部署電子商務(wù)實(shí)驗(yàn)室,必須解決三個(gè)關(guān)鍵問題:高可用性���、伸縮性和安全性。而安全性是其中最重要的環(huán)節(jié)�,因此本文主要對電子商務(wù)實(shí)驗(yàn)室的安全性進(jìn)行闡述。
一�、電子商務(wù)實(shí)驗(yàn)室的安全需求
本課題所設(shè)計(jì)的系統(tǒng)有七個(gè)實(shí)驗(yàn)平臺(tái)組成,它們分別是:一般教學(xué)����、B2C、C2C����、B2B、物流實(shí)驗(yàn)平臺(tái)�,以及電子銀行和CA認(rèn)證平臺(tái)。每個(gè)平臺(tái)相對獨(dú)立又有一定關(guān)聯(lián)�����,如B2C業(yè)務(wù)流程的完成需要結(jié)合CA認(rèn)證���、電子銀行和物流管理等�����,因此不同平臺(tái)安全需求也是多方面的�����。如何保證實(shí)驗(yàn)室系統(tǒng)交易的安全性�����、對個(gè)人信息提供機(jī)密性保障�、認(rèn)證交易雙方的合法身份、如何保證數(shù)據(jù)的完整性和交易的不可否認(rèn)性等�����,是實(shí)驗(yàn)室所需解決的核心問題�。
二、電子商務(wù)實(shí)驗(yàn)室安全解決方案
當(dāng)前�����,電子商務(wù)系統(tǒng)設(shè)計(jì)的架構(gòu)大多采用B/S結(jié)構(gòu)���。B/S環(huán)境中各種安全功能都由服務(wù)器集中實(shí)現(xiàn)�,因此服務(wù)器容易成為系統(tǒng)的安全瓶頸。服務(wù)器一旦被人入侵或出現(xiàn)問題����,將對整個(gè)系統(tǒng)的安全造成嚴(yán)重的威脅。且不同子系統(tǒng)具有不同的安全需求����,由服務(wù)器統(tǒng)一協(xié)調(diào)和處理它們之間的安全策略將大大加重服務(wù)器的負(fù)擔(dān)���。
當(dāng)前的大多數(shù)電子商務(wù)系統(tǒng)都采用了結(jié)合硬件防火墻��、軟件防火墻和防病毒軟件等�����。這些措施只提供了被動(dòng)的�、有限的安全防范能力�����,并不能滿足多模塊�、多子系統(tǒng)的電子商務(wù)實(shí)驗(yàn)室的要求。并且這種解決方案缺少主動(dòng)性和自我維護(hù)能力�。
利用軟件Agent的智能處理能力來解決各模塊間的安全通信是一個(gè)很好的選擇,軟件Agent是一種計(jì)算機(jī)程序,具有反應(yīng)性��、自治性和目標(biāo)性等特點(diǎn)��,能夠獨(dú)立地跟環(huán)境進(jìn)行交互或代表用戶完成給定的目標(biāo)��。它不僅能對各模塊的通信狀況進(jìn)行高度監(jiān)控���,而且各Agent能多層面的獨(dú)立實(shí)現(xiàn)���,各Agent之間也能相互協(xié)調(diào)、統(tǒng)一調(diào)度���。
三���、基于軟件Agent的電子商務(wù)實(shí)驗(yàn)室安全設(shè)計(jì)
本人主持研究河北大學(xué)教改青年基金項(xiàng)目――基于LINUX的電子商務(wù)實(shí)驗(yàn)室(項(xiàng)目編號為:0575),此實(shí)驗(yàn)室服務(wù)器連接校園網(wǎng)���,校園網(wǎng)又和互聯(lián)網(wǎng)相連����,因此服務(wù)器較容易成為被攻擊或入侵的對象�����,所以本系統(tǒng)利用Agent技術(shù)來提高實(shí)驗(yàn)室的安全性。Agent可對用戶的請示進(jìn)行過濾�,減少用戶直接訪問實(shí)驗(yàn)室服務(wù)器所帶來的安全風(fēng)險(xiǎn),同時(shí)可更方便地實(shí)現(xiàn)一些動(dòng)態(tài)的安全策略���。
1.基于軟件Agent的安全設(shè)計(jì)模型
本實(shí)驗(yàn)室的Agent體系設(shè)計(jì)是分層次����、分等級的結(jié)構(gòu)����,層次或等級根據(jù)系統(tǒng)的功能來劃分�,如圖1所示。
圖1 Agent的安全等級結(jié)構(gòu)
每個(gè)平臺(tái)由一個(gè)安全監(jiān)控Agent負(fù)責(zé)管理本平臺(tái)的安全�,如有問題通知報(bào)警Agent,報(bào)警Agent會(huì)及時(shí)反饋給Agent安全管理中心的Agent進(jìn)行相應(yīng)處理�����,比如:退出登陸重新驗(yàn)證身份等�。身份認(rèn)證Agent負(fù)責(zé)對訪問用戶進(jìn)行身份驗(yàn)證;授權(quán)Agent根據(jù)對已經(jīng)通過身份認(rèn)證Agent的用戶進(jìn)行授權(quán)��,不同類型的登陸用戶授權(quán)策略不同,實(shí)驗(yàn)的角色不同���,授權(quán)的策略也不同����,比如���,B2C實(shí)驗(yàn)中�,一位剛剛初始化的Customer(學(xué)生登錄身份)��,授權(quán)內(nèi)容中將包括B2C的買方界面�,并且授權(quán)Agent指示電子銀行模塊自動(dòng)給實(shí)驗(yàn)者初始資產(chǎn)一萬元作為實(shí)驗(yàn)的資本,當(dāng)然還有其他一些授權(quán)�����;跟蹤Agent將全程跟蹤用戶的操作并詳細(xì)記錄到日志文件���。
2.軟件Agent的安全解決方案
移動(dòng)Agent需要在不同的主機(jī)上遷移��,實(shí)驗(yàn)室服務(wù)器是LINUX環(huán)境���,而客戶端往往是學(xué)生比較熟悉的windows操作環(huán)境��,所以這里選擇跨平臺(tái)的J2EE開發(fā)本系統(tǒng)��。J2EE不僅提供了一套安全機(jī)制��,而且移動(dòng)Agent中的許多功能在Java中有直接的對應(yīng)實(shí)現(xiàn)�。移動(dòng)Agent狀態(tài)的移動(dòng)可以用Java對象的串行化表示���;Agent代碼的移動(dòng)用字節(jié)碼傳遞和加載�����;Agent運(yùn)行上下文可用方法的控制流表示等等,具體的方案有以下幾點(diǎn):
(1)利用Java的字節(jié)碼驗(yàn)證器保證Agent的正確性�。字節(jié)碼驗(yàn)證器可以檢測Agent的程序代碼是否被破壞,然后采取相應(yīng)的措施�。
(2)利用Java的類裝載器、命名空間和線程組來實(shí)現(xiàn)動(dòng)態(tài)Agent的隔離����。可以把從不同來源載入的類隔離到不同的命名空間中�����,一個(gè)Agent不可能用它自己的類冒名頂替另一Agent的類,這樣可以防止破壞性代碼訪問正常的代碼��,從而保證了Agent之間的安全��。另外��,每當(dāng)一個(gè)新Agent到達(dá)后��,就為其建立一個(gè)線程組�。任何執(zhí)行該Agent的線程其組號是相同的。那么��,只要為這個(gè)線程組分配權(quán)限���,即為該Agent分配了權(quán)限�����,就實(shí)現(xiàn)了Agent與主機(jī)的隔離��。
(3)采用數(shù)字簽名和加密算法實(shí)現(xiàn)Agent的傳輸與驗(yàn)證��。系統(tǒng)對外來的Agent的身份進(jìn)行數(shù)字簽名驗(yàn)證���,確定其是否為可信Agent��。同時(shí)還可以利用Java加密擴(kuò)展機(jī)制和Java安全套接字?jǐn)U展機(jī)制結(jié)合來實(shí)現(xiàn)將Agent代碼數(shù)據(jù)進(jìn)行壓縮后加密處理�,經(jīng)過壓縮不僅降低了網(wǎng)絡(luò)流量�����,而且也大大增加了破譯該數(shù)據(jù)的難度����。
3.軟件Agent的實(shí)現(xiàn)
本系統(tǒng)的軟件Agent的實(shí)現(xiàn)平臺(tái)采用Aglet。Aglet為開放源碼項(xiàng)目���,用戶不用考慮侵權(quán)問題��。Aglet完全由Java編寫�����,具有很高的移植性。Aglet包含了一個(gè)運(yùn)行移動(dòng)Agent的服務(wù)器和一套類庫�,基于它開發(fā)者可以進(jìn)一步開發(fā)各種Agent的應(yīng)用。Aglet的系統(tǒng)架構(gòu)主要分為四個(gè)階段��,如圖2所示�����。
圖2 Aglet系統(tǒng)架構(gòu)
當(dāng)一個(gè)正在執(zhí)行的Aglet將自己送到遠(yuǎn)程端口時(shí),會(huì)對Aglet Runtime層發(fā)出請求�,然后把Aglet的狀態(tài)與程序代碼序列化(serialized )成字節(jié)數(shù)組(byte array),若是請求成功���,系統(tǒng)會(huì)將Aglet的執(zhí)行動(dòng)作結(jié)束�����,然后將序列化數(shù)組傳送至ATCI(Agent Transport and Communication Interface)層處理���。
Agent安全管理中心統(tǒng)一管理各個(gè)安全Agent的基本行為:如產(chǎn)生(Create)、復(fù)制(Clone)Agents ��,或分派(Dispatch)Agents 到遠(yuǎn)端工作站����、召回(Retract)遠(yuǎn)端的Agents,或暫停(Deactive)�、喚醒(Active)Agents,以及移除(Dispose)Agents等���,如圖3所示���,不管是何種Agent均繼承Aglet類����,可以通過覆蓋父類的方法來實(shí)現(xiàn)自己的“特殊要求”���。
圖3 Agent的對象模型
各監(jiān)控Agent由管理中心分派到各個(gè)實(shí)驗(yàn)平臺(tái)進(jìn)行監(jiān)控���,等客戶端做完實(shí)驗(yàn)后正常退出,然后移除Agent監(jiān)控對象���,如果出現(xiàn)安全問題�����,傳遞消息給報(bào)警Agent對象����,再交由Agent管理中心負(fù)責(zé)進(jìn)一步處理���。
參考文獻(xiàn):
[1]Jian Li,Guo-yin Zhang Gu, A Workflow System Based Architecture for Network Attack Resistant System,GCC2003, LNCS3032, pp.980~983,2004
第5篇
關(guān)鍵詞:電子商務(wù);網(wǎng)站開發(fā);安全策略;網(wǎng)站性能;網(wǎng)站部署
中圖分類號:TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A文章編號:1007-9599 (2010) 09-0000-01
E-commerce Site Construction Safety Research and Practice
Guo Bin
(Hunan Xiangtan Education College,Xiangtan411100,China)
Abstract:With the network technology continues to progress and development,gave birth to the birth of electronic commerce,its high efficiency and low cost advantages to grow quickly.As a new e-commerce trading,enterprises and users use a more convenient and intuitive information exchange platform has gradually become a new impetus to economic growth.
How the advantages of internet to establish a secure operating environment,protection of trade for both information security,a depth of e-commerce process,a problem can not be ignored.
Keywords:Electronic commerce;Web development;Security policy;Site performance;Site deployment
近幾年,電子商務(wù)的蓬勃發(fā)展已經(jīng)成為經(jīng)濟(jì)增長的重要組成部分。作為一種新興的交易方式,電子商務(wù)效率高��、成本低的運(yùn)作優(yōu)勢已經(jīng)逐步得到公眾的認(rèn)可。然而,作為借助網(wǎng)絡(luò)依托而產(chǎn)生的交易方式,網(wǎng)上的信息安全成為了制約電子商務(wù)發(fā)展的最大難題���。因此,如何結(jié)合網(wǎng)絡(luò)安全措施,確保企業(yè)網(wǎng)上信息的完整性和交易客戶信息的私密性,是電子商務(wù)網(wǎng)絡(luò)平臺(tái)應(yīng)該提供的最基本安全保障��。建立起安全�����、便捷���、友好的交易界面,增加產(chǎn)品信息的開放性,是電子商務(wù)走向繁榮的必經(jīng)之路。
一����、電子商務(wù)網(wǎng)站建設(shè)過程中的安全性研究與實(shí)現(xiàn)
電子商務(wù)網(wǎng)站的建設(shè)不僅要考慮到企業(yè)信息的開放性,也要考慮到交易過程的私密性。借助計(jì)算機(jī)網(wǎng)絡(luò)提供的便捷服務(wù),要建立在信息交互保密的基礎(chǔ)上,在網(wǎng)站的設(shè)計(jì)��、開發(fā)和投入使用過程中只有解決了根本上運(yùn)營保障問題,才能夠發(fā)揮電子商務(wù)強(qiáng)大的功能力量,成為企業(yè)與用戶雙向選擇的焦點(diǎn)所在����。
(一)敏感字段的加密過程
任何一個(gè)電子商務(wù)網(wǎng)站,從根本上來講是一個(gè)信息交互的平臺(tái),只有實(shí)現(xiàn)了信息傳輸?shù)陌踩Wo(hù),才能夠完成電子商務(wù)網(wǎng)站的基本構(gòu)建。在網(wǎng)絡(luò)上的信息,要防止非法的肆意篡改,對于電子商務(wù)網(wǎng)站還包括了用戶之間交易時(shí)私密信息被竊取的風(fēng)險(xiǎn),這些都是網(wǎng)絡(luò)數(shù)據(jù)傳輸中不可避免的問題,只有從信息安全技術(shù)手段上進(jìn)行改進(jìn),對電子商務(wù)網(wǎng)站上的信息進(jìn)行加密處理,才可能避免以上情況的發(fā)生,降低用戶因信息丟失造成損失的風(fēng)險(xiǎn)�。采用敏感字段加密技術(shù),對瀏覽器的客戶端采用數(shù)字安全證書認(rèn)證的方式,對用戶的身份、信息和訪問級別進(jìn)行識(shí)別,一方面保證了用戶信息的私密性,另一方面也保護(hù)了網(wǎng)站上信息的安全。此外,由于敏感字段被加密,即便出現(xiàn)了信息被截取或盜取的情況,也由于難以破解加密的密文,而免于重要信息的泄露風(fēng)險(xiǎn)���。
(二)數(shù)據(jù)存儲(chǔ)與查詢的效率性
消費(fèi)者對電子商務(wù)網(wǎng)站的訪問,大部分操作是以信息查詢?yōu)橹?提高網(wǎng)站信息的查詢效率和檢索信息的準(zhǔn)確性,可以在極大程度上促進(jìn)企業(yè)與消費(fèi)者的交易成功率�����。每個(gè)消費(fèi)者都有各自的消費(fèi)主張和產(chǎn)品性能關(guān)注點(diǎn),因此,電子商務(wù)網(wǎng)站就是要在數(shù)據(jù)存儲(chǔ)過程中盡量避免冗余信息的錄入,造成查詢效率低下,降低電子商務(wù)的功效性����。因此,要嚴(yán)格遵守?cái)?shù)據(jù)庫的設(shè)計(jì)規(guī)范,將網(wǎng)上的信息關(guān)鍵字與敏感字段系統(tǒng)的編輯起來,提高數(shù)據(jù)存儲(chǔ)空間的使用效率�。
(三)硬件密鑰與身份確認(rèn)
為了保護(hù)Web頁面信息的安全,應(yīng)采取網(wǎng)頁內(nèi)嵌ActiveX控件的形式,結(jié)合硬件密鑰來共同工作,保護(hù)網(wǎng)頁信息與用戶發(fā)出信息的安全。在用戶瀏覽網(wǎng)站產(chǎn)生數(shù)據(jù)流的同時(shí),可以啟動(dòng)ActiveX的自動(dòng)下載,也可以在客戶界面彈出詢問對話框,確認(rèn)ActiveX的運(yùn)行,提醒用戶網(wǎng)頁的保護(hù)狀態(tài)����。硬件密鑰內(nèi)包含了用戶的私人信息,連接到Web頁面上,經(jīng)過認(rèn)證后,就可以保證交易過程的順暢進(jìn)行。
(四)部署安裝中的安全性實(shí)現(xiàn)
電子商務(wù)的技術(shù)支持基礎(chǔ)來源于計(jì)算機(jī)技術(shù)與網(wǎng)絡(luò)技術(shù)的結(jié)合,信息安全一直是一個(gè)此消彼長的過程,安全問題的不斷暴露,也促使了計(jì)算機(jī)安全與網(wǎng)絡(luò)技術(shù)的不斷成熟�����。一旦在基礎(chǔ)的支持技術(shù)出現(xiàn)了發(fā)展滯后的情況,就等于是在自身的網(wǎng)站建設(shè)上將問題暴露人前,給信息竊取提供了可乘之機(jī)����。對服務(wù)器的監(jiān)控和服務(wù)器操作系統(tǒng)的安全升級,是整個(gè)網(wǎng)站部署安裝過程中的安全保障根本,同時(shí)限制用戶對服務(wù)器的訪問權(quán)限,杜絕賬戶劃分不適當(dāng)帶來的用戶權(quán)限過大,帶來威脅網(wǎng)站服務(wù)器安全的情況發(fā)上。具體劃分為FTP組,MAIL組,DNS組等,他們之間沒有交叉,管理員帳戶只有一個(gè),并且密碼每周需要更換,其他組用戶密碼也要定期更換,以防止密碼丟失���。此外,也要分離各功能服務(wù)器獨(dú)立運(yùn)轉(zhuǎn)系統(tǒng),預(yù)防某一功能故障而引發(fā)整個(gè)系統(tǒng)的崩潰���。服務(wù)器與網(wǎng)絡(luò)的連接必然會(huì)遭受到網(wǎng)絡(luò)上病毒與漏洞的攻擊,要采用強(qiáng)大的殺毒軟件全面保護(hù)服務(wù)器系統(tǒng)內(nèi)部的安全,隔離病毒感染、及時(shí)修復(fù)��、監(jiān)控系統(tǒng)漏洞���。
二�����、結(jié)語
針對電子商務(wù)網(wǎng)絡(luò)信息傳輸?shù)奶攸c(diǎn),分析了電子商務(wù)網(wǎng)站建設(shè)過程中的安全問題,在網(wǎng)站的基礎(chǔ)構(gòu)建過程中,重視信息安全的保護(hù),提高電子商務(wù)應(yīng)用的安全性��。結(jié)合計(jì)算機(jī)技術(shù)與網(wǎng)絡(luò)技術(shù)的發(fā)展趨勢與技術(shù)支持方式,從數(shù)據(jù)加密��、傳輸加密����、電子簽名和數(shù)據(jù)庫安全等環(huán)節(jié)入手,全面提高電子商務(wù)網(wǎng)站的防攻擊抵抗能力,全面考慮網(wǎng)站開發(fā)和應(yīng)用過程中可能遇到的各種安全問題,予以有效解決,打造一個(gè)安全���、便捷的交易平臺(tái),建造一個(gè)人性化的交易環(huán)境,為經(jīng)濟(jì)發(fā)展提供新的動(dòng)力來源�。
參考文獻(xiàn):
[1]方美琪.電子商務(wù)概論[M].北京:清華人學(xué)出版社.2009:12-13
[2]賈偉.網(wǎng)絡(luò)與電子商務(wù)安全[M].北京:國防工業(yè)出版社.2009:23-24
第6篇
[關(guān)鍵詞] 電子商務(wù)信息加密案例教學(xué)
目前電子商務(wù)安全問題已經(jīng)成為制約電子商務(wù)快速發(fā)展的障礙�。因此,了解和掌握安全技術(shù),已經(jīng)成為從事電子商務(wù)人員的必備知識(shí)���。為此,目前很多高校電子商務(wù)專業(yè)都開設(shè)了《電子商務(wù)安全技術(shù)》課程。如何針對該課程的特點(diǎn)使學(xué)生掌握安全知識(shí)和技術(shù),是教師在課程設(shè)計(jì)中最為重視的問題����。筆者結(jié)合該課程的講授經(jīng)驗(yàn),從教學(xué)內(nèi)容、教學(xué)方法���、實(shí)驗(yàn)教學(xué)等方面進(jìn)行了探索�����。
一���、課程特點(diǎn)
《電子商務(wù)安全技術(shù)》課程是電子商務(wù)專業(yè)的專業(yè)課程。該課程的目標(biāo)是要求學(xué)生在掌握基本概念和理論的基礎(chǔ)上,結(jié)合實(shí)際問題,在電子商務(wù)的實(shí)施中應(yīng)用有關(guān)技術(shù)為具體商務(wù)過程的實(shí)現(xiàn)提供安全保障����。該課程內(nèi)容非常龐雜且綜合性強(qiáng),包括信息加密技術(shù)、計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)��、電子支付技術(shù)等���。
該課程的突出問題是學(xué)習(xí)內(nèi)容多,課時(shí)少����。僅計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)一項(xiàng)內(nèi)容,就是一門獨(dú)立的課程。然而該課程安排課時(shí)為44學(xué)時(shí)����。因此,在有限的學(xué)時(shí)內(nèi),不可能詳細(xì)講解所有內(nèi)容����。為此,我們精心設(shè)計(jì)教學(xué)內(nèi)容和實(shí)驗(yàn),采用小組討論、案例教學(xué)等教學(xué)方法,取得了不錯(cuò)的效果�。
二、教學(xué)內(nèi)容設(shè)計(jì)
《電子商務(wù)安全技術(shù)》課程的教學(xué)內(nèi)容包括以下8個(gè)部分:電子商務(wù)安全概述���、信息加密技術(shù)��、計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)�����、公鑰基礎(chǔ)設(shè)施(PKI)�、電子支付技術(shù)�����、電子商務(wù)安全交易協(xié)議、安全電子商務(wù)應(yīng)用����、其他電子商務(wù)安全技術(shù)。教學(xué)內(nèi)容的設(shè)計(jì)原則如下:
1.重視信息加密技術(shù)����。信息加密技術(shù)是其他技術(shù)的核心,是電子商務(wù)安全的基石。在教學(xué)過程中,應(yīng)該把對稱加密和非對稱加密的原理��、特點(diǎn)講透�����。對于對稱加密可首先以愷撒密碼�、換位密碼算法為例來講解,這些算法簡單,學(xué)生理解起來較為容易。而對于非對稱加密算法,可以RSA算法為例來講解,讓學(xué)生能理解該算法的優(yōu)點(diǎn)和不足����。學(xué)會(huì)了加密技術(shù),在理解數(shù)字簽名、公鑰基礎(chǔ)設(shè)施等這些應(yīng)用加密算法的技術(shù)時(shí)就會(huì)容易得多��。
2.重視計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)�。電子商務(wù)是基于Internet網(wǎng)絡(luò)的商務(wù)模式,因此,電子商務(wù)的安全是以計(jì)算機(jī)網(wǎng)絡(luò)的安全性為基礎(chǔ)的。因此,在教學(xué)過程中,必須教導(dǎo)學(xué)生重視計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù),必須掌握基本的網(wǎng)絡(luò)安全攻防體系���、防火墻���、虛擬專用網(wǎng)����、入侵檢測系統(tǒng)等網(wǎng)絡(luò)安全的主要技術(shù)和解決方案�����。
3.加強(qiáng)流行技術(shù)和新技術(shù)的講解�����。電子商務(wù)安全相關(guān)的新技術(shù)不斷涌現(xiàn)�。例如,在電子支付技術(shù)中,除了信用卡電子支付�、電子支票、電子現(xiàn)金支付方法,比較流行的還有支付寶等第三方支付方法;隨著移動(dòng)電子商務(wù)的流行,無線電子商務(wù)安全技術(shù)逐漸被人們所重視;信息隱藏技術(shù)�����、數(shù)字水印技術(shù)和數(shù)字版權(quán)保護(hù)等新技術(shù)已成為了非常熱門的話題����。在教學(xué)中,可簡單介紹這些新技術(shù),學(xué)生根據(jù)自己的興趣進(jìn)一步跟蹤和探索�。
三�、教學(xué)方法
教學(xué)方式主要采用多媒體教學(xué)。在多媒體課件的設(shè)計(jì)上,主要以設(shè)置問題���、討論解答的方式來引出各個(gè)知識(shí)點(diǎn),以便激發(fā)學(xué)生的求知欲����。提出問題后,可以組織學(xué)生分組討論,或者師生共同討論來給出問題的答案,并總結(jié)知識(shí)點(diǎn)�����。
根據(jù)教學(xué)內(nèi)容的不同,采用靈活多樣的教學(xué)方法,如小組討論����、案例教學(xué)等。比如:在講解電子支付時(shí),先在課前布置學(xué)生收集5個(gè)國內(nèi)電子商務(wù)網(wǎng)站的電子支付方式,而后在課堂上進(jìn)行小組討論,結(jié)合實(shí)際情況來加深學(xué)生對知識(shí)點(diǎn)的掌握����。在講解網(wǎng)絡(luò)防火墻技術(shù)時(shí),收集某連鎖店網(wǎng)絡(luò)和九運(yùn)會(huì)防火墻配置案例,讓學(xué)生更加直觀地理解防火墻的實(shí)際應(yīng)用情況。
四���、實(shí)驗(yàn)內(nèi)容
實(shí)驗(yàn)教學(xué)是為學(xué)生理解課程內(nèi)容而設(shè)計(jì)的��。通過實(shí)驗(yàn)教學(xué)的實(shí)施,使學(xué)生掌握課程內(nèi)容,以及電子商務(wù)安全技術(shù)的操作與配置方法�。實(shí)驗(yàn)設(shè)計(jì)的原則是:
1.強(qiáng)調(diào)基礎(chǔ)。結(jié)合學(xué)習(xí)內(nèi)容的各主要知識(shí)點(diǎn)來設(shè)計(jì)實(shí)驗(yàn)�。通過實(shí)驗(yàn),讓學(xué)生理解各知識(shí)點(diǎn),并會(huì)加以運(yùn)用。
2.既有驗(yàn)證性實(shí)驗(yàn),也有設(shè)計(jì)性實(shí)驗(yàn)�。通過驗(yàn)證性實(shí)驗(yàn),掌握各個(gè)技術(shù)。通過設(shè)計(jì)性實(shí)驗(yàn),綜合應(yīng)用各種技術(shù),培養(yǎng)學(xué)生解決實(shí)際問題的能力��。
根據(jù)上述原則,我們設(shè)計(jì)了7個(gè)實(shí)驗(yàn),如下表所示�����。
其中實(shí)驗(yàn)1屬于調(diào)查分析類,該實(shí)驗(yàn)的目的是通過調(diào)查分析當(dāng)前大型電子商務(wù)網(wǎng)站,掌握常用的安全措施����。具體要求是了解2個(gè)國內(nèi)大型電子商務(wù)網(wǎng)站如eBay網(wǎng)�����、淘寶網(wǎng)的電子商務(wù)安全措施��。
實(shí)驗(yàn)2到實(shí)驗(yàn)6是屬于操作性和驗(yàn)證性的實(shí)驗(yàn)�。通過實(shí)際操作,理解課堂所學(xué)的理論知識(shí),并進(jìn)一步掌握各種電子商務(wù)安全技術(shù)的應(yīng)用方法。實(shí)驗(yàn)3中的防火墻�、VPN、入侵檢測這三個(gè)內(nèi)容,由于課時(shí)的關(guān)系,可以把防火墻作為重點(diǎn),其他兩個(gè)作為課下作業(yè)。
實(shí)驗(yàn)7是設(shè)計(jì)某小型電子商務(wù)系統(tǒng)的安全解決方案,這是一個(gè)設(shè)計(jì)性實(shí)驗(yàn)����。該實(shí)驗(yàn)需要綜合運(yùn)用各種安全技術(shù),并寫出方案報(bào)告。
五��、學(xué)習(xí)效果
在教學(xué)實(shí)踐過程中,學(xué)生實(shí)驗(yàn)報(bào)告�、案例分析報(bào)告都撰寫得不錯(cuò)。同時(shí)本課程很受學(xué)生歡迎,取得了令人滿意的教學(xué)效果���。
參考文獻(xiàn):
[1]張愛菊:電子商務(wù)安全技術(shù)[M].北京:清華大學(xué)出版社,2006
第7篇
關(guān)鍵詞:實(shí)踐教學(xué)��;教學(xué)改革���;教育質(zhì)量
中圖分類號:G642.4 文獻(xiàn)標(biāo)志碼:A 文章編號:1674-9324(2013)35-0039-02
伴隨著知識(shí)經(jīng)濟(jì)的興起,高等教育的歷史使命和人才培養(yǎng)目標(biāo)發(fā)生了巨大變化����,創(chuàng)新教育成為各國教育改革的主題。為了適應(yīng)創(chuàng)新教育�����,培養(yǎng)創(chuàng)新型人才����,教育教學(xué)的傳統(tǒng)方式必須變革[1]���。中央和各級政府教育行政部門、各高等學(xué)校十分重視對大學(xué)生實(shí)踐和創(chuàng)新能力的培養(yǎng)��,教育部把實(shí)踐教學(xué)作為高校本科教學(xué)工作水平評估的關(guān)鍵指標(biāo)之一���,各高等學(xué)校采取切實(shí)有效措施��,積極開展實(shí)踐教學(xué)改革�,多渠道籌措經(jīng)費(fèi)加大實(shí)驗(yàn)室建設(shè)投入���,極大地改善了實(shí)驗(yàn)教學(xué)條件��,對提高學(xué)生的實(shí)踐創(chuàng)新能力產(chǎn)生了積極影響[2]��。
一�����、實(shí)踐教學(xué)體系概述
實(shí)踐教學(xué)指具有實(shí)踐性的教學(xué)活動(dòng)。實(shí)踐教學(xué)存在于整個(gè)教學(xué)過程之中�����,包括理論實(shí)踐教學(xué)和社會(huì)實(shí)踐教學(xué)。要做好實(shí)踐教學(xué)工作��,首先應(yīng)該建立并完善實(shí)踐教學(xué)體系�,通常實(shí)踐教學(xué)體系分為實(shí)踐教學(xué)目標(biāo)體系、實(shí)踐教學(xué)內(nèi)容體系���、實(shí)踐教學(xué)管理體系����、實(shí)踐教學(xué)保障體系和實(shí)踐教學(xué)評價(jià)體系�。實(shí)踐教學(xué)體系的建設(shè)應(yīng)該遵循以下幾個(gè)原則:
1.特色性原則:確立以素質(zhì)教育為核心,技術(shù)應(yīng)用能力培養(yǎng)為主線����,應(yīng)變能力培養(yǎng)為關(guān)鍵,產(chǎn)學(xué)研結(jié)合為途徑�,與時(shí)俱進(jìn)的人才教育培養(yǎng)模式是實(shí)踐教學(xué)體系構(gòu)建中遵循的原則。
2.實(shí)用型原則:實(shí)踐教學(xué)體系的構(gòu)建�,要充分體現(xiàn)專業(yè)崗位的要求,與專業(yè)崗位群發(fā)展緊密相關(guān)����。以此為原則組成一個(gè)層次分明�����、分工明確的實(shí)踐教學(xué)體系��。
3.混合型原則:混合型體現(xiàn)在教師類型的混合��、理論教學(xué)和實(shí)踐教學(xué)的混合���、教室與實(shí)驗(yàn)室的混合等方面,淡化理論教學(xué)與實(shí)踐教學(xué)�����、專業(yè)教師與實(shí)踐指導(dǎo)教師����、教室與實(shí)驗(yàn)室的界限,打破原來按學(xué)科設(shè)置實(shí)驗(yàn)室的傳統(tǒng)布局��,對實(shí)踐教學(xué)設(shè)施進(jìn)行重新整合����,形成一體化混合實(shí)踐教學(xué)模式。
實(shí)踐教學(xué)體系的目標(biāo)是:以職業(yè)能力培養(yǎng)為主線��,使學(xué)生獲得實(shí)踐知識(shí)��、開闊眼界���,豐富并活躍學(xué)生的思想���,加深對理論知識(shí)的理解掌握,進(jìn)而在實(shí)踐中對理論知識(shí)進(jìn)行修正���、拓展和創(chuàng)新���。在確定具體課程實(shí)踐教學(xué)體系目標(biāo)的前提下,如何有針對性地設(shè)置具體的實(shí)踐教學(xué)內(nèi)容尤為重要���。實(shí)踐教學(xué)的內(nèi)容是實(shí)踐教學(xué)目標(biāo)任務(wù)的具體化����,將實(shí)踐教學(xué)環(huán)節(jié)通過合理配置���,構(gòu)建成以技術(shù)應(yīng)用能力培養(yǎng)為主體�����,按基本技能�、專業(yè)技能和綜合技術(shù)應(yīng)用能力等層次,循序漸進(jìn)地安排實(shí)踐教學(xué)內(nèi)容��,將實(shí)踐教學(xué)的目標(biāo)和任務(wù)具體落實(shí)到各個(gè)實(shí)踐教學(xué)環(huán)節(jié)中�����,讓學(xué)生在實(shí)踐教學(xué)中掌握必備的��、完整的�、系統(tǒng)的技能和技術(shù)[3]。
二��、電子商務(wù)安全實(shí)踐教學(xué)內(nèi)容設(shè)置
電子商務(wù)安全課程是新興的邊緣交叉性課程�����,是在網(wǎng)絡(luò)安全的基礎(chǔ)上結(jié)合電子商務(wù)的領(lǐng)域的實(shí)際應(yīng)用發(fā)展而來的一門具有一定針對性的課程��,也是電子商務(wù)專業(yè)學(xué)生的一門專業(yè)主干課程��??紤]到經(jīng)營管理活動(dòng)中計(jì)算機(jī)的普及和網(wǎng)絡(luò)通信的快速發(fā)展,該課程是作為21世紀(jì)大學(xué)生尤其是電子商務(wù)專業(yè)的學(xué)生應(yīng)該了解、掌握的一門學(xué)科���,通過該課程的教學(xué)�����,學(xué)生初步了解電子商務(wù)安全的內(nèi)涵和電子商務(wù)支付系統(tǒng)的構(gòu)成,并且對網(wǎng)絡(luò)常見的攻擊手段����、主要安全產(chǎn)品的功能、常用的電子支付工具等進(jìn)行了解����,以解決實(shí)際應(yīng)用中遇到的問題[4]。
1.實(shí)驗(yàn)項(xiàng)目安排�����。本課程實(shí)踐教學(xué)部分主要讓學(xué)生對電子商務(wù)安全與支付在理論和實(shí)踐上有一個(gè)全面的認(rèn)識(shí)��。要求學(xué)生通過大綱中的實(shí)驗(yàn)設(shè)置��,了解電子商務(wù)安全與支付的現(xiàn)實(shí)環(huán)境��;了解電子商務(wù)客戶機(jī)和服務(wù)器的安全設(shè)置�����;熟悉基本的電子支付工具的使用,掌握數(shù)字證書的申請��、安裝和使用流程���;了解SSL證書的申請流程����。針對本課程的培養(yǎng)目標(biāo)進(jìn)行合理的實(shí)驗(yàn)教學(xué)安排����,具體實(shí)驗(yàn)項(xiàng)目如表1所示。
2.實(shí)驗(yàn)項(xiàng)目的具體內(nèi)容���。實(shí)驗(yàn)1:了解電子商務(wù)安全與支付的現(xiàn)實(shí)環(huán)境:通過本次實(shí)驗(yàn)了解中國互聯(lián)網(wǎng)發(fā)展?fàn)顩r�,特別是有關(guān)電子商務(wù)發(fā)展的現(xiàn)狀�����,認(rèn)真體會(huì)��,結(jié)合自己課余所見的實(shí)際情況進(jìn)行總結(jié)。實(shí)驗(yàn)內(nèi)容:閱讀比較CNNIC最新的《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》中關(guān)于安全支付的數(shù)據(jù)及分析�,了解中國電子商務(wù)發(fā)展的現(xiàn)狀。實(shí)驗(yàn)2:電子商務(wù)客戶機(jī)安全:通過本次實(shí)驗(yàn)了解電子商務(wù)客戶機(jī)存在的安全風(fēng)險(xiǎn)及對應(yīng)的安全措施�����。實(shí)驗(yàn)內(nèi)容:防病毒軟件的安裝和使用����、IE對安全區(qū)的設(shè)置�����、檢測活動(dòng)內(nèi)容���、處理cookie��。實(shí)驗(yàn)3:中銀電子錢包及網(wǎng)上銀行:通過本次實(shí)驗(yàn)了解電子錢包����、電子信用卡在網(wǎng)上支付中的功能及使用過程����。實(shí)驗(yàn)內(nèi)容:中銀電子錢包的使用、個(gè)人網(wǎng)上銀行專業(yè)版的設(shè)置及使用。實(shí)驗(yàn)4:個(gè)人數(shù)字證書:通過本次實(shí)驗(yàn)了解數(shù)字證書的基本類型�,個(gè)人數(shù)字證書的下載安裝。實(shí)驗(yàn)內(nèi)容:個(gè)人數(shù)字證書的下載�、安裝、查看��、導(dǎo)入和導(dǎo)出�����。實(shí)驗(yàn)5:SSL證書申請:通過本次實(shí)驗(yàn)了解利用Microsoft IIS Web Server申請SSL證書的基本流程�。實(shí)驗(yàn)內(nèi)容:在Microsoft IIS上生成公私鑰對和證書請求、保存證書請求文件�����、安裝CA中心的根證書���、安全Web Server證書����。
電子商務(wù)安全是一門實(shí)踐性很強(qiáng)的課程��,有難度且極具挑戰(zhàn)性���,因此���,電子商務(wù)安全的實(shí)踐教學(xué)應(yīng)該根據(jù)學(xué)生的實(shí)際情況酌情安排�。筆者在幾年的課程教學(xué)過程中嘗試了一些改進(jìn)本課程教學(xué)的方法�����?����?偨Y(jié)得出:最優(yōu)方式是讓學(xué)生置身于其中�����,讓學(xué)生積極參與其中�����,享受創(chuàng)造的樂趣��。經(jīng)過對本實(shí)踐課程安排前后的對比發(fā)現(xiàn)��,學(xué)生對本課程的興趣有極大提高��,對理論教學(xué)部分的理解也大大加深��。
參考文獻(xiàn):
[1]曹鳳月.課堂實(shí)踐教學(xué):高校實(shí)踐教學(xué)的基礎(chǔ)環(huán)節(jié)[J].中國勞動(dòng)關(guān)系學(xué)院學(xué)報(bào)�,2009,4(23):106-109.
[2]鄭春龍�����,邵紅艷.以創(chuàng)新實(shí)踐能力培養(yǎng)為目標(biāo)的高校實(shí)踐教學(xué)體系的構(gòu)建與實(shí)施[J].中國高教研究����,2007,(4):85-86.
[3]朱正偉���,劉東燕���,何敏.加強(qiáng)高校實(shí)踐教學(xué)的探索與實(shí)踐[J].中國大學(xué)教育,2007�����,(2):76-78.
